2018-02-13
1599Лекція 12: Екранування, аналіз захищеності
1. Екранування, аналіз захищеності: Екранування ………………. 1
Основні поняття
1.2. Архітектурні аспекти …………………………………….. 3
1.3. Класифікація міжмережевих екранів ……………….….. 5
2. Екранування, аналіз захищеності: Аналіз захищеності ………….. 9
Розглядаються порівняно нові (що розвиваються з початку 1990-х років) сервіси безпеки - екранування та аналіз захищеності.
Екранування
Основні поняття
Формальна постановка задачі екранування, полягає в наступному. Нехай є дві безлічі інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї безлічі до серверів з іншої множини. Екран здійснює свої функції, контролюючи всі інформаційні потоки між двома множинами систем (рис. 12.1). Контроль потоків складається в їхній фільтрації, можливо, з виконанням деяких перетворень.
Рис. 12.1. Екран як засіб розмежування доступу.
На наступному рівні деталізації екран (напівпроникну мембрану) зручно представляти як послідовність фільтрів. Кожен з фільтрів, проаналізувавши дані, може затримати (не пропустити) їх, а може і відразу "перекинути" за екран. Крім того, допускається перетворення даних, передача порції даних на наступний фільтр для продовження аналізу або обробка даних від імені адресата і повернення результату відправникові (рис. 12.2).
|
|
|
Рис. 12.2. Екран як послідовність фільтрів.
Крім функцій розмежування доступу, екрани здійснюють протоколювання обміну інформацією.
Зазвичай екран не є симетричним, для нього визначені поняття "усередині" і "зовні". При цьому завдання екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани (МЕ) (запропонований автором переклад англійського терміна firewall) найчастіше встановлюють для захисту корпоративної мережі організації, що має вихід в Internet (див. наступний розділ).
Екранування допомагає підтримувати доступність сервісів внутрішній області, зменшуючи або взагалі ліквідуючи навантаження, викликане зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми сконфігуровані особливо ретельно. Крім того, що екранує система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш безпечним чином.
Екранування дає можливість контролювати також інформаційні потоки, спрямовані в зовнішню область, що сприяє підтримці режиму конфіденційності в ІС організації.
Підкреслимо, що екранування може використовуватися як сервіс безпеки не тільки в мережевий, але і в будь-який інший середовищі, де відбувається обмін повідомленнями. Найважливіший приклад подібної середовища - об'єктно-орієнтовані програмні системи, коли для активізації методів об'єктів виконується (принаймні, в концептуальному плані) передача повідомлень. Досить імовірно, що в майбутніх об'єктно-орієнтованих середовищах екранування стане одним з найважливіших інструментів розмежування доступу до об'єктів.
|
|
|
Екранування може бути частковим, що захищає певні інформаційні сервіси. Екранування електронної пошти описано в статті "Контроль над корпоративною електронною поштою: система" Дозор-Джет "" (Jet Info, 2002, 5).
Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому сенсі Web-інтерфейс володіє природним захистом, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожен користувач бачить лише те, що йому належить бачити. Можна провести аналогію між динамічно формованими гіпертекстовими документами і уявленнями в реляційних базах даних, з тією суттєвою застереженням, що у випадку Web можливості істотно ширше.
Екрануюча роль Web-сервісу наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, що інтегрують) функції при доступі до інших ресурсів, наприклад таблиць бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація даних.
Архітектурні аспекти
Боротися з погрозами, властивому мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для нелегального отримання привілеїв. Сучасна технологія програмування не дозволяє зробити настільки великі програми безпечними. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди в стані врахувати всі наслідки вироблених змін. Нарешті, в універсальної системі пролому в безпеці постійно створюються самими користувачами (слабкі і / чи рідко змінювані паролі, невдало встановлені права доступу, залишений без догляду термінал і т.п.).Єдиний перспективний шлях пов'язаний з розробкою спеціалізованих сервісів безпеки, які в силу своєї простоти допускають формальну чи неформальну верифікацію. Міжмережевий екран саме і є таким засобом, що допускає подальшу декомпозицію, пов'язану з обслуговуванням різних мережевих протоколів.
Міжмережевий екран розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми мережами або іншими сегментами корпоративної мережі). У першому випадку говорять про зовнішнє МЕ, у другому - про внутрішній. Залежно від точки зору, зовнішній міжмережевий екран можна вважати першою або останньою (але ніяк не єдиною) лінією оборони. Першої - якщо дивитися на світ очима зовнішнього зловмисника. Останньою - якщо прагнути до захищеності всіх компонентів корпоративної мережі і припинення неправомірних дій внутрішніх користувачів.
Міжмережевий екран - ідеальне місце для вбудовування засобів активного аудиту. З одного боку, і на першому, і на останньому захисному рубежі виявлення підозрілої активності по-своєму важливо. З іншого боку, МЕ здатний реалізувати як завгодно потужну реакцію на підозрілу активність, аж до розриву зв'язки з зовнішнім середовищем. Правда, потрібно віддавати собі звіт в тому, що з'єднання двох сервісів безпеки в принципі може створити пролом, що сприяє атакам на доступність.
На міжмережевий екран доцільно покласти ідентифікацію/аутентифікацію зовнішніх користувачів, яким потрібен доступ до корпоративних ресурсів (з підтримкою концепції єдиного входу в мережу).
|
|
|
У силу принципів ешелонування оборони для захисту зовнішніх підключень зазвичай використовується двокомпонентне екранування (див. рис. 12.3). Первинна фільтрація (наприклад, блокування пакетів керуючого протоколу SNMP, небезпечного атаками на доступність, або пакетів з певними IP-адресами, включеними в "чорний список") здійснюється граничним маршрутизатором (див. також наступний розділ), за яким розташовується так звана демілітаризована зона (мережа з помірним довірою безпеки, куди виносяться зовнішні інформаційні сервіси організації - Web, електронна пошта і т.п.) і основний МЕ, що захищає внутрішню частину корпоративної мережі.
Рис. 12.3. Двокомпонентне екранування з демілітаризованою зоною.
Теоретично міжмережевий екран (особливо внутрішній) повинен бути багатопротокольним, однак на практиці домінування сімейства протоколів TCP / IP настільки велике, що підтримка інших протоколів представляється надмірністю, шкідливим для безпеки (чим складніше сервіс, тим він більш вразливий).
Взагалі кажучи, і зовнішній, і внутрішній міжмережевий екран може стати вузьким місцем, оскільки обсяг мережевого трафіку має тенденцію швидкого зростання. Один з підходів до вирішення цієї проблеми передбачає розбиття МЕ на декілька апаратних частин і організацію спеціалізованих серверів-посередників. Основний міжмережевий екран може проводити грубу класифікацію вхідного трафіку по видах і передовіряти фільтрацію відповідним посередникам (наприклад, посереднику, що аналізує HTTP-трафік). Вихідний трафік спочатку обробляється сервером-посередником, який може виконувати і функціонально корисні дії, такі як кешування сторінок зовнішніх Web-серверів, що знижує навантаження на мережу взагалі і основний МЕ зокрема.
Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є скоріше винятком, ніж правилом. Навпроти, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожен з яких підключений до Internet. У цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складеним, і потрібно вирішувати задачу погодженого адміністрування (керування й аудита) усіх компонентів.
|
|
|
Протилежністю складовим корпоративним МЕ (або їх компонентами) є персональні міжмережеві екрани і персональні екрануючі пристрої. Перші є програмними продуктами, які встановлюються на персональні комп'ютери і захищають тільки їх. Другі реалізуються на окремих пристроях і захищають невелику локальну мережу, таку як мережа домашнього офісу.
При розгортанні міжмережевих екранів слід дотримуватись розглянуті нами раніше принципи архітектурної безпеки, в першу чергу подбавши про простоту і керованості, про ешелонування оборони, а також про неможливість переходу в небезпечний стан. Крім того, слід брати до уваги не тільки зовнішні, але і внутрішні загрози.
Класифікація міжмережевих екранів
При розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати за рівнем фільтрації - канальному, мережному, транспортному або прикладному. Відповідно, можна говорити про концентратори, що екранують, (мостах, комутаторах) (рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.
Фільтрація інформаційних потоків здійснюється міжмережевими екранами на основі набору правил, що є вираженням мережевих аспектів політики безпеки організації. У цих правилах, крім інформації, що міститься в фільтруються потоках, можуть фігурувати дані, отримані з оточення, наприклад, поточний час, кількість активних з'єднань, порт, через який поступив мережевий запит, і т.д. Таким чином, в міжмережевих екранах використовується дуже потужний логічний підхід до розмежування доступу.
Можливості міжмережевого екрану безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі кажучи, чим вище рівень у моделі ISO / OSI, на якому функціонує МЕ, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше він може бути сконфігурований.
Екранувальні маршрутизатори (і концентратори) мають справу з окремими пакетами даних, тому іноді їх називають пакетними фільтрами. Рішення про те, пропустити або затримати дані, приймаються для кожного пакета незалежно, на підставі аналізу адрес і інших полів заголовків мережевого (канального) і, можливо, транспортного рівнів. Ще один важливий компонент аналізованої інформації - порт, через який поступив пакет.
Екранувальні концентратори є засобом не стільки розмежування доступу, скільки оптимізації роботи локальної мережі за рахунок організації так званих віртуальних локальних мереж. Останні можна вважати важливим результатом застосування внутрішнього міжмережевого екранування.
Сучасні маршрутизатори дозволяють пов'язувати з кожним портом кілька десятків правил і фільтрувати пакети як на вході, так і на виході. У принципі, як пакетного фільтру може використовуватися і універсальний комп'ютер, обладнаний кількома мережними картами.
Основні переваги екрануючих маршрутизаторів - доступна ціна (на межі мереж маршрутизатор потрібний практично завжди, питання лише в тому, як задіяти його екранують можливості) і прозорість для вищих рівнів моделі OSI. Основний недолік - обмеженість аналізованої інформації і, як наслідок, відносна слабкість захисту, який він.
Транспортне екранування дозволяє контролювати процес встановлення віртуальних з'єднань і передачу інформації по них. З точки зору реалізації екрануючий транспорт являє собою досить просту, а значить, надійну програму.
У порівнянні з пакетними фільтрами, транспортне екранування володіє більшою інформацією, тому відповідний МЕ може здійснювати більш тонкий контроль за віртуальними з'єднаннями (наприклад,він здатний відстежувати кількість переданої інформації і розривати з'єднання після перевищення певного порогу,перешкоджаючи тим самим несанкціонованому експорту інформації). Аналогічно, можливе накопичення більш змістовної реєстраційної інформації. Головний недолік - звуження області застосування, оскільки поза контролем залишаються датаграмні протоколи. Зазвичай транспортне екранування застосовують у поєднанні з іншими підходами,як важливий додатковий елемент.
Міжмережевий екран, що функціонує на прикладному рівні, здатний забезпечити найбільш надійний захист. Як правило, подібний МЕ являє собою універсальний комп'ютер, на якому функціонують екранують агенти, інтерпретують протоколи прикладного рівня (HTTP, FTP, SMTP, telnet і т.д.) В тій мірі, яка необхідна для забезпечення безпеки.
При використанні прикладних МЕ, крім фільтрації, реалізується ще один найважливіший аспект екранування. Суб'єкти із зовнішньої мережі бачать тільки шлюзовий комп'ютер;відповідно, їм доступна тільки та інформація про внутрішній мережі, яку він вважає за потрібне експортувати. Прикладної МЕ насправді екранує, тобто заступає, внутрішню мережу від зовнішнього світу. У той же час, суб'єктам внутрішньої мережі здається, що вони безпосередньо спілкуються з об'єктами зовнішнього світу. Недолік прикладних МЕ - відсутність повної прозорості, що вимагає спеціальних дій для підтримки кожного прикладного протоколу.
Якщо організація має вихідними текстами прикладного МЕ і в змозі ці тексти модифіковані, перед нею відкриваються надзвичайно широкі можливості з налаштування екрану з урахуванням власних потреб. Справа в тому, що при розробці систем клієнт/сервер в багатоланкової архітектури з'являються специфічні прикладні протоколи, які потребують захисту не менше стандартних. Підхід, заснований на використанні екрануючих агентів, дозволяє побудувати такий захист, не знижуючи безпеки та ефективності інших додатків і не ускладнюючи структуру зв'язків в міжмережовому екрані.
Комплексні міжмережеві екрани, що охоплюють рівні від мережевого до прикладного, поєднують у собі найкращі властивості "однорівневих" МЕ різних видів. Захисні функції виконуються комплексними МЕ прозорим для додатків чином, не вимагаючи внесення будь-яких змін ні в існуюче програмне забезпечення, ні в дії, які стали для користувачів звичними.
Комплексність МЕ може досягатися різними способами: "знизу вгору", від мережевого рівня через накопичення контексту до прикладного рівня, або "зверху вниз", за допомогою доповнення прикладного МЕ механізмами транспортного та мережевого рівнів.
Крім виразних можливостей і припустимої кількості правил, якість міжмережевого екрану визначається ще двома дуже важливими характеристиками - простотою використання і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при визначенні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонених політикою безпеки.
Власна захищеність міжмережевого екрану забезпечується тими ж засобами, що і захищеність універсальних систем. Мається на увазі фізичний захист, ідентифікація та аутентифікація, розмежування доступу, контроль цілісності, протоколювання й аудит. При виконанні централізованого адміністрування варто також подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність. Вкрай важливо оперативне накладення латок,ліквідують виявлені вразливі місця МЕ.
Хотілося б підкреслити, що природа екранування як сервісу безпеки дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про мережі, що захищається, тим самим ускладнюючи дії потенційних зловмисників. Потужним методом приховування інформації є трансляція "внутрішніх" мережевих адресів, що попутно вирішує проблему розширення адресного простору, виділеного організації.
Відзначимо також наступні додаткові можливості міжмережевих екранів:
· контроль інформаційного наповнення (антивірусний контроль "на льоту", верифікація Java-аплетів, виявлення ключових слів в електронних повідомленнях і т.п.);
· виконання функцій ПЗ проміжного шару.
Особливо важливим представляється останній з перерахованих аспектів. ПЗ проміжного шару, як і традиційні міжмережеві екрани прикладного рівня, приховує інформацію про послуги. За рахунок цього воно може виконувати такі функції, як маршрутизація запитів і балансування навантаження. Видається цілком природним, щоб ці можливості були реалізовані в рамках міжмережевого екрану. Це істотно спрощує дії із забезпечення високої доступності експортованих сервісів і дозволяє здійснювати перемикання на резервні потужності прозорим для зовнішніх користувачів чином. У результаті до послуг, традиційно надаються міжмережевими екранами, додається підтримка високої доступності мережевих сервісів.
Приклад сучасного міжмережевого екрану представлений у статті "Z-2 - універсальний міжмережевий екран вищого рівня захисту" (Jet Info, 2002, 5).
Аналіз захищеності
Сервіс аналізу захищеності призначений для виявлення вразливих місць з метою їх оперативної ліквідації. Сам по собі цей сервіс ні від чого не захищає, але допомагає виявити (і усунути) прогалини в захисті раніше, ніж їх зможе використовувати зловмисник. У першу чергу, маються на увазі не архітектурні (їх ліквідувати складно), а "оперативні" проломи, що з'явилися в результаті помилок адміністрування або через неуважність до оновлення версій програмного забезпечення.
Системи аналізу захищеності (звані також сканерами захищеності), як і розглянуті вище засоби активного аудиту, засновані на накопиченні і використанні знань. У даному випадку маються на увазі знання про прогалини у захисті: про те, як їх шукати, наскільки вони серйозні і як їх усувати.
Відповідно, ядром таких систем є база вразливих місць, яка визначає доступний діапазон можливостей і вимагає практично постійної актуалізації.
У принципі, можуть виявлятися проломи самої різної природи: наявність шкідливого ПЗ (зокрема, вірусів), слабкі паролі користувачів, невдало сконфігуровані операційні системи, небезпечні мережеві сервіси, невстановлені латки, уразливості в додатках і т.д. Однак найбільш ефективними є мережеві сканери (очевидно, через домінування сімейства протоколів TCP / IP), а також антивірусні засоби. Антивірусний захист ми зараховуємо до засобів аналізу захищеності, не вважаючи її окремим сервісом безпеки.
Сканери можуть виявляти вразливі місця як шляхом пасивного аналізу, тобто вивчення конфігураційних файлів, задіяних портів і т.п., так і шляхом імітації дій атакуючого. Деякі знайдені вразливі місця можуть усуватися автоматично (наприклад, лікування заражених файлів), про інші повідомляється адміністратору.
Системи аналізу захищеності забезпечені традиційним "технологічним цукром": автовиявленням компонентів аналізованої ІВ і графічним інтерфейсом (що допомагає, зокрема, ефективно працювати з протоколом сканування).
З можливостями вільно поширюваного сканера Nessus можна ознайомитися, прочитавши статтю "Сканер захищеності Nessus: унікальна пропозиція на російському ринку" (Jet Info, 2000, 10).
Контроль, що забезпечується системами аналізу захищеності, носить реактивний, запізнілий характер, він не захищає від нових атак, проте слід пам'ятати, що оборона повинна бути ешелонованої, і як один з рубежів контроль захищеності цілком адекватний. Відзначимо також, що переважна більшість атак носить рутинний характер; вони можливі тільки тому, що відомі проломи в захисті роками залишаються неусуненими.
